by GHOSTX_0 » Sat Mar 19, 2011 7:53 pm
Salut Robin,
Ouais ça serait pas mal un petit compte de test (pour entre autre tester le chatbox) ;)
Alors sinon j'ai pas trouvé grand chose!
A part une erreur SQL:
[code:1:846f059275]
[exception 403] Erreur dans la requête (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-1,20' at line 1(SELECT `games`.`id`, `games`.`name`, `games`.`description`, `games`.`note`, `games`.`current_note`, `games`.`filename`, `games`.`image`, `games`.`width`, `games`.`height`, `games`.`played`, `games`.`contest`, `games`.`disclaimer`, `games`.`closed`, `games`.`num_favorites`, `games`.`cat_id`, `cat`.`name` as `cat_name` FROM `games` AS `games` LEFT JOIN `games_cats` AS `cat` ON ( `games`.`cat_id`=`cat`.`id`) WHERE `games`.`cat_id` = 1 ORDER BY `name` asc LIMIT -1,20)) /homez.120/salledej/jelix/lib/jelix/plugins/db/mysql/mysql.dbconnection.php 116
[/code:1:846f059275]
Trouvé via l'url:
http://jelix.salledejeux.net/categorie-jeux/1/divers?page=-1
Il aime pas trop les valeur négative ^^
Et une petite "Directory Traversal Attack" est réalisable:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2938
Bon je ne sais pas trop comment l'exploiter mais bon on ne sait jamais! Mieux vaut être prudent et mettre à jour Tomcat!
Cordialement